Let's Encrypt宣布释出新的透明日志系统Oak,这个系统可以接收所有公开受信任的凭证颁发机构提交凭证,供浏览器查询凭证的有效性以侦测恶意网站,这项计划由凭证颁发机构Sectigo提供大部分的资金援助。凭证透明度(Certificate Transparency,CT)适用于监督以及监控凭证颁发的系统,提供所有人都有监督凭证的能力,并让凭证发布生态系以及网页安全获得显著的改进。由于现代加密技术,浏览器通常都可以检测凭证真伪,因此即便恶意网站伪造凭证,很快就会被发现,但是当恶意网站使用的是凭证颁发机构错误发出,或是被偷走的凭证,以目前的加密机制来说,是难以察觉的。
浏览器仍然会认为这些凭证来自信誉良好的凭证颁发机构,而且网站也使用安全的联机方式,所以浏览器不疑有他的认为该网站是真实没问题的,而之所以让这些恶意网站有机可乘,是因为缺乏有效的实时验证凭证方法,而当这些有问题的凭证被恶意使用时,可能要经过数周甚至数月凭证才会被撤销,但这段时间足以让有心人士在用户不知情的状况,安装恶意软件甚至是监控用户。凭证透明度便是出现来解决这项问题的,以开放的方式,让网域拥有者、凭证颁发机构以及网域使用者能够公开审核SSL凭证,让凭证颁发机构无法在网域拥有者不知情的状况下,发布该网域的SSL凭证,而且也让网域拥有者与凭证颁发机构,能以审核与监控系统侦测错误或是恶意发布的凭证,而对于一般使用者来说,也能免于受有问题的凭证欺骗。
Let's Encrypt认为,凭证透明度日志系统有助于创建安全且具隐私的网络环境,因此从2015年开始,Let's Encrypt就开始记录每一个他们发布的凭证,到目前为止已经累积有五亿个凭证,由于Let's Encrypt每天发出超过一百万张凭证,因此他们需要拥有为高容量优化设计,能够存放大量凭证透明度日志的系统,另外,Let's Encrypt也提到,网络大厂 Chrome要求所有的新凭证都要来自于两个独立的日志系统,而这也是Let's Encrypt要建立多个日志系统的原因之一。Oak建立在AWS基础架构上,执行网络大厂透明且可扩展的加密验证数据储存软件Trillian,并使用Kubernetes进行容器编排和作业调度,还使用了AWS RDS进行数据管理,打造出不只能够放进Let's Encrypt的凭证,也能供其他凭证颁发机构提交凭证的系统。Let's Encrypt现正申请加入网络大厂 Chrome和Apple Safari的日志列表中,在90天后应该就能正式被加入可信任列表中,使用者会由更新的浏览器获得更新。除了Let's Encrypt,网络大厂、Sectigo、Cloudflare和DigiCert也都有营运开放日志系统。
转载于:https://blog.51cto.com/13220658/2396318
5670
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
